网络机房技术方案

山东鸿杰印务集团有限公司

网络机房技术方案

2016年04月

目录

第一章引言错误!未定义书签。

1.1概述错误!未定义书签。

1.2技术要求.......................错误!未定义书签。

其次章系统拓扑........................错误!未定义书签。

2.1全网拓扑设计谓误!未定义书签。

2.2方案说明罐误!未定义书签。

第三章产品介绍.......................................7

3.1核心交换机.....................................7

3.2防火墙...错误!未定义书签。

3.3汇聚交换机错误!未定义书签。

3.4AP接入点.............38

3.5AP限制器.错误!未定义书签。

第一章引言

1.1概述

山东鸿杰印务集团有限公司机房建设工程位于山东省淄博市桓

台县唐山镇。本次工程内容主要包括网络机房核心设备，厂区及车间

之间光纤布线及车间的无线覆盖。

1.2技术要求

本工程所涉及中华人民共和国相关的国家规范标准、行业标准及

地方标准,全部规范或标准等均以最新颁布版本现行有效为准。要求

投标单位严格按规范要求执行，但规范中未明确的相关引述标准和细

微环节规定,投标必需符合领取招标文件时已颁布或有实施要求的中

华人民共和国国家规范和标准及青岛市地方标准。包括但不限于：

《钢管敷设工艺标准》(305-1998)

《平安防范工程程序要求》(GB—T75-94)

《民用闭路监视电视系统工程技术规范》(GB50198-94)

《建筑电气安装分项工程施工工艺标准》(533-1996)

《有线电视系统工程技术规范》(GB50200-94)

《民用建筑电缆电视系统工程技术规范》(GBJ)

《建筑及建筑群综合布线工程系统设计规范》(GBT/T50

311-2000)

《建筑及建筑群综合布线系统工程验收规范》(GBT/T503

12-2000)

《智能建筑设计标准》(GB/T50314—2000)

祺次章系统拓扑

依据山东鸿杰印务集团有限公司目前的接入点数量及应用系统

的分布状况,依据平安区域划分的设计思想，各个区域物理隔离的技

术手段,综合高性价比考虑,特设计如下方案。

2.1全网拓扑设计

网络拓扑图:

Internet

2.2方案说明

设用户网络总体设计主要考虑到先进性、牢靠性、开放性、经济

性、平安性和可管理性。使整个网络既有较高的先进性，并具有长足

的开发发展实力，以适应将来网络技术的发展。

用户网络设计在垂直层面采纳分层的设计方式，用户网络是一个

三层的交换网络，由核心层、汇聚层和接入层组成。

核心网络设备：由于核心网络设备为用户整个网络的核心处理设

备，要求有较高的数据处理实力、平安性及接口的扩展性，便利以后

的人员的增加和系统的扩展。因此我们在这里选用了H3c的F100

-M-G作为防火墙，选用H3c的S5500-28C-EI作为核心交换机。

汇聚层网络：采纳H3C的S5120-28P-WiNet交换机，通过

电信专线及总机房连接，性能及速率满意用户的应用功能。

无线网络:采纳H3c专业级AP,该AP最大功率可达23dBm。

为了便于统一管理和维护以及实现无线漫游等功能，选用了H3CWAC3

61AP限制器进行统一管理，最大可支持32个AP。

第三章产品介绍

3.1核心交换机

产品图片

产品特性

H3CS5500-EI系列交换机是H3C公司最新开发的增加型IPv6

强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处

理实力和最丰富的业务特性。支持最多6个万兆扩展接口，支持IPv4

/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6

时代；除此以外，其精彩的平安性，牢靠性和多业务支持实力使其成

为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘

设备的第一选择。同时S550O-EI系列交换机支持嵌入式管理软件,

通过内置H3CUISManager统一管理软件可供应跨服务器、存

储、网络以及虚拟化的全融合管理，简化部署安装，优化运维管理。

高扩展性爱护投资

随着用户端速度不断提高，用户最终会使集群千兆链路达到饱

和，而能够拥有多条集群1OGE链路将是我们的将来发展方向。H3C

S5500-EI系列交换机支持两个扩展槽位,每个槽位支持最大两端口的

1OGE扩展模块及两端口的CX4扩展模块，在实现千兆汇聚或接入时

保留进一步支持1OGE的扩展实力,尽力爱护用户投资。

IPv4到IPv6的演化是以太网发展的大势所趋，网络设备对于IPv

6的支持不仅是简洁的可用就行，而是须要达到商用的标准，

S5500-EI已经通过了国际最权威的IPv6Ready其次阶段认证，而

且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬

件的IPv4,IPv6双栈平台，支持丰富的IPv4和IPv6三层路由协议、

组播协议和策略路由机制，实现IPv4到IPv6的平滑升级。

智能弹性架构

H3CS5500-EI系列交换机支持IRF2（其次代智能弹性架构）

技术,就是把多台物理设备相互连接起来，使其虚拟为一台逻辑设备,

也就是说，用户可以将这多台设备看成一台单一设备进行管理和运

用。IRF可以为用户带来以下好处：

*简化管理IRF架构形成之后，可以连接到任何一台设备的任

何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管

理整个智能弹性系统以及系统内全部成员设备的效果，而不用物理连

接到每台成员设备上分别对它们进行配置和管理。

*简化业务IRF形成的逻辑设备中运行的各种限制协议也是作

为单一设备统一运行的，例如路由协议会作为单一设备统一计算,而

随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样

就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了

网络动荡时的收敛时间。

*弹性扩展可以依据用户需求实现弹性扩展，保证用户投资。

并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影

响其他设备的正常运行。

*高牢靠IRF的高牢靠性体现在链路,设备和协议三个方面。成

员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的

物理连接也支持聚合功能，这样通过多链路备份提高了链路的牢靠

性;IRF系统由多台成员设备组成，一旦Master设备故障，系统会快

速自动选举新的Master,以保证通过系统的业务不中断，从而实现

了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协

议的配置信息备份到其他全部成员设备，从而实现1：N的协议牢靠

性。

*高性能对于高端交换机来说，性能和端口密度的提升会受到

硬件结构的限制。而IRF系统的性能和端口密度是IRF内部全部设

备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交

换实力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。

完备的平安限制策略

H3CS5500-EI系列交换机支持EAD（端点准入防卫）功能,

协作后台系统可以将终端防病毒、补丁修复等终端平安措施及网络接

入限制、访问权限限制等网络平安措施整合为一个联动的平安体系，

通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络

变被动防卫为主动防卫、变单点防卫为全面防卫、变分散管理为集中

策略管理，提升了网络对病毒、蠕虫等新兴平安威逼的整体防卫实力。

H3CS5500-EI交换机支持集中式MAC地址认证、802.lx认

证、PORTAL认证，支持用户帐号、IP、MAC、VLAN、端口等用户

标识元素的动态或静态绑定，同时实现用户策略(VLAN、QoS.ACL)

的动态下发;支持协作H3C公司的CAMS系统对在线用户进行实时的

管理,刚好的诊断和瓦解网络非法行为。

H3CS5500-EI系列交换机供应增加的ACL限制逻辑,支持超

大容量的入端口和出端口ACL,并且支持基于VLAN的ACL下发,

在简化用户配置过程的同时，避开了ACL资源的奢侈。另外,S550

0-EI系列还将支持单播反向路径查找技术(uRPF),原理是当设备

的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从

该接收接口到包中制定的源地址之间的路由，即验证了其真实性，假

如不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥

的源地址欺瞒。

H3CS5500-EI交换机支持端口隔离功能，即便是在同一VLAN内，

也可以实现端口之间的隔离,从而避开广播风暴和病毒在VLAN内地

扩散从而影响全部端口。支持MAC地址学习限制和平安MAC地址功

能，可以保证只有真正的业务主机才能够接入网络，而其他新接入主

机即使连接到交换机上也无法获得地址并连通网络。

多重牢靠性爱护

S5500-EI系列交换机还具备设备级和链路级的多重牢靠性

爱护。全部机型都支持冗余电源，其中S5500-28F-EI支持可插拔

的冗余电源模块,也就是说我们可以依据实际环境的须要敏捷配置沟

通或直流电源模块，此外整机还支持电源和风扇的故障检测及告警,

可以依据温度的改变自动调整风扇的转速，这些设计使我们这款盒式

交换机具备了机柜式交换机的高牢靠性。

除了设备级牢靠性以外,还支持丰富的链路牢靠性以外，还支持

丰富的链路牢靠性技术，比如华三通信独创的RRPP快速环网爱护机

制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，

保证业务的正常开展。

多业务支持实力

支持PoE(PoweroverEthernet)技术，通过以太网对所连

接的设备(如IPPhone,WirelessAP等)进行远程供电，从而

使得不必在运用现场为设备部署单独的电源系统，能够极大地削减部

署终端设备的布线和管理成本。支持VoiceVLAN技术，交换机通过

识别端口的语音流，将对应的接入端口加入VoiceVLAN(专用语音

VLAN)中，为语音流量供应特地通道，并自动下发优先级规则保证

语音流的优先传输来保证通话质量。同时通过设置VoiceVLAN平

安特性，只允许语音流量通过，可以有效防止突发数据流量对Voic

eVLAN内的语音流量的冲击。

H3CS5500—EI系列交换机支持MCE功能，可以有效解决多VP

N网络带来的用户数据平安及网络成本之间的冲突，它运用CE设备

本身的VLAN接口编号及网络内的VPN进行绑定,并为每个VPN创建

和维护独立的路由转发表(Mu1ti-VRF)o这样不但能够隔离私网内

不同VPN的报文转发路径，而且通过及PE间的协作，也能够将每个

VPN的路由正确发布至对端PE,保证VPN报文在公网内的传输。

丰富的QoS策略

H3CS5500-EI系列交换机支持支持L2(Layer2)~L4(Layer

4)包过滤功能，供应基于源MAC地址、目的MAC地址、源IP地址、

目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。供应

敏捷的对列调度算法，可以同时基于端口和队列进行设置，支持SP

(StrictPriority)、WRR(WeightedRoundRobin)

SP+WRR三种模式。支持CAR(CommittedAccessRate)功

能。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行

监控，将端口上的数据包复制到监控端口，以进行网络检测和故障解

除。

精彩的管理性

H3CS5500-EI系列交换机支持SNMPv1/v2/v3(S

impleNetworkManagementProtoco1),可支持OpenV

iew等通用网管平台以及iMC智能管理中心。支持CLI吩咐行,Web

网管，TELNET,HGMP,使设备管理更便利，并且支持SSH2.0等

加密方式，使得管理更加平安。

H3CS5500-EI系列交换机支持基于MAC地址划分VLAN,很好

的解决了移动办公的智能敏捷管理；结合特有的基于全局和VLAN下

发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。该系

列交换机还支持sFlow功能，可以对出入方向的报文按比例随机抽

样，敏捷实现报文采集。。

技术参数

支持特S5500-28S5500-5S5500-S5500-5S5500-28F

性C-EI2C-EI28C-PWR-2C-PWR--EI

EIEI

整机交256Gbps256Gbp256Gbps256Gbps256Gbps

换容量s

包转发96Mpps132Mpps96Mpps132Mpps96Mpps

率（整156Mp192Mpps*156Mpps*192Mpps*156Mpp

机）ps*s*

外形尺44OX300X43.6440X420X43.6440X360X

寸（长43.6

义宽义

高）（单

位：mm）

重量4kg4.5kg6kg6.5kg6.3kg

管理端1个Console口

口

业务端24个48个24个1048个10/24个1000

口描述10/100/10/100/10/100/10100/1000BBase-X千

1000Bas00Base-T0OBase-Tase-T以太兆SFP端口

e-T以太以太网端口以太网端口网端口

网端口

4个复用的4个复用的4个复用的4个复用的8个复用的

1000B1000Ba100OBalOOOBase10/100/100

ase-X千兆se-X千兆se-X千兆-X千兆SF0Base-T以

SFP端口SFP端口SFP端口P端口太网端口

扩展插2个扩展插槽

槽

可选接1端口万兆以太网XFP光接口模块

口模块2端口万兆以太网XFP光接口模块

2端口万兆以太网SFP+接口模块

2端口万兆以太网CX4接口模块

2端口l/10GBase-T以太网电接口模块

2端口千兆以太网SFP光接口模块

4端口万兆以太网SFP+接口模块*

以太网不支持支持不支持

供电P

oE

端口聚支持LACP

合支持手工聚合

支持最多14/26个聚合组,每组支持最多8个GE或4个1

OGE端口

端口特支持IEEE802.3x流量限制（全双工）

性支持基于端口速率百分比的风暴抑制

支持基于PPS的风暴抑制

MAC地支持32K个MAC地址

址表支持黑洞MAC地址

支持设置端口MAC地址学习最大个数

VLAN支持基于端口的VLAN（4K个）

支持基于MAC的VLAN

基于协议的VLAN

基于IP子网的VLAN

支持QinQ,敏捷QinQ

支持VLANMapping

支持VoiceVLAN

支持GVRP

二层环支持STP/RSTP/MSTP

网协议支持RRPP

DHCPDHCPC1ient

DHCPSnooping

DHCPRelay

DHCPServer

DHCPSnoopingoption82/DHCPRelayoption82

IRF2支持IRF2智能弹性架构

智能弹支持分布式设备管理，分布式链路聚合，分布式弹性路由

性架构

支持通过标准以太网接口进行堆叠

支持本地堆叠和远程堆叠

IP路由支持静态路由

支持RIPvl/v2,RIPng

支持0SPFvl/v2,0SPFv3

支持BGP4,BGP4+forIPv6

支持等价路由，策略路由

支持VRRP/VRRPv3

MCE支持

IPv6支持ND(NeighborDiscovery)

支持PMTU

支持IPv6-Ping,IPv6—Tracert,IPv6-Telnet,IPv

6-TFTP

支持手动配置Tunnel

支持6to4tunnel

支持ISATAPtunne1

组播支持IGMPSnoopingv1/v2/v3,MLDSnoopingvl/v2

支持组播VLAN

支持IGMPvl/v2/v3,MLDvl/v2

支持PIM-DM,PIM-SM,PIM-SSM

支持MSDP,MSDPforIPv6

支持MBGP,MBGPforIPv6

镜像支持流镜像

支持N:4端口镜像

支持本地和远程端口镜像

QoS支支持L2(Layer2)〜L4(Layer4)包过滤功能，供应

/持基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地

ACLA址、目的IP(IPv4/IPv6)地址、TCP/UDP端口号、VLAN的

C流分类

L支持时间段(TimeRange)ACL

支持入方向和出方向的双向ACL策略

支持基于VLAN下发ACL

支支持对端口接收报文的速率和发送报文的速率进行限制

持支持报文重定向

Q支持CAR(CommittedAccessRate)功能

0每个端口支持8个输出队列

s

支持敏捷的队列调度算法，可以同时基于端口和队列进行设

置，支持SP、WRR、SP+WRR三种模式

支持报文的802.1p和DSCP优先级重新标记

平安特支持用户分级管理和口令爱护

性支持802.IX认证/集中式MAC地址认证

支持GuestVLAN

支持RADIUS认证

支持SSH2.0

支持端口隔离

支持端口平安

支持P0RTAL认证

支持EAD

可支持DHCPSnooping,防止欺瞒的DHCP服务器

支持动态ARP检测，防止中间人攻击和ARP拒绝服务

支持BPDUguard,Rootguard

支持uRPF（单播反向路径检测），杜绝IP源地址欺瞒，防范病

毒和攻击

支持IP/P。rt/MAC的绑定功能

支持OSPF、RIPv2报文的明文及MD5密文认证。

管理及支持XModem/加载升级

维护支持吩咐行接口（CLI）,Telnet,Console口进行配置

支持SNMPv1/v2/v3,WEB网管

支持RMON（RemoteMonitoring）告警、事务、历史记

录

支持iMC智能管理中心

支持系统日志，分级告警,调试信息输出

支持HGMPv2（最大256台）

支持NTP

支持电源的告警功能，风扇、温度告警

支持Ping、Tracert

支持VCT(VirtualCableTest)电缆检测功能

支持DLDP(DeviceLinkDetectionProtocol)单向链路检测

协议

支持LLDP

支持Loopback-detection端口环回检测

支持H3cUISManager统一管理软件，可供应跨服务器、

存储、网络以及虚拟化的全融合管理，简化部署安装,优化运

维管理

输沟通额定电压范围：100V〜240VAe,50/60Hz

入最大电压范围：90V〜264VAC,47/63Hz

电直流额定电压范围：额定电压范围：额定电压范

压围：

10.8V-13.2VD-52V〜一55VDC-486-60V

C(RPS专用)(RPS专用)DC

功耗now155WAC供电：AC供电：115W

（满负满负荷功耗满负荷功耗

荷时）最大575最大640

W,其中系统W,其中系

功耗205统功耗

W,POE对270W,POE对

外供电功率外供电功率

370W;370W;

DC供电：DC供电：

满负荷功耗满负荷功耗

最大485最大910

W,其中系W,其中系

统功耗11统功耗17

5W,POE对0W,POE对

外供电功率外供电功率

370W;740W

工作环0℃-50℃

境温度

工作环10%〜90%

境相对

湿（非

凝露)

3.2防火墙

产品图片

产品特性

H3CSecPathF100-M-G是H3c公司推出的新一代防火墙产

品，能够满意中小企业不断改变的网络环境和日益丰富网络应用的须

要。SecPathF100-M-G继承H3c一贯的高性能、高牢靠硬件平台，

能够为用户供应线速、稳定的应用体验。SecPathF100-M

-G不但可以供应传统的基础平安功能，如状态检测、NAT、VPN、

链路负载均衡等；同时通过统一的软件平台和处理引擎,SecPath

F100-M-G有效整合防火墙、入侵防卫、应用层流量识别及限制、防

病毒功能,为用户供应一体化的应用平安防护。

市场领先的基础平安防护

*全面的基础平安防护：供应平安区域划分、静态/动态黑名单

功能、MAC和IP绑定、访问限制列表(ACL)和攻击防范等基本功

能，还供应基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。

能够防卫ARP欺瞒、TCP报文标记位不合法、LargeICMP报文、S

YNflood、地址扫描和端口扫描等多种恶意攻击

*丰富的VPN特性：支持L2TpVPN、GREVPN、IPSecVPN

及SSLVPN等远程平安接入方式，同时设备集成硬件加密引擎实现

高性能的VPN处理

*专业的NAT应用：供应多对一、多对多、静态网段、双向转换、

EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越

NAT,供应DNS、、NBT等NATALG功能

敏捷可扩展的深度平安防护

*及基础平安防护高度集成的一体化平安业务处理平台

*全面的应用层流量识别及管理:通过H3c长期积累的状态机

检测、流量交互检测技术，能精确检测Thunder/WebThunde

r（迅雷/Web迅雷）、BitTorrent^eMuie（电骡）/eDonkey（电

驴）、QQ、MSN、PPLive等P2P/IM/网络嬉戏/炒股/网络视频/

网络多媒体等应用；支持P2P流量限制功能，通过对流量采纳深度

检测的方法，即通过将网络报文及P2P协议报文特征进行匹配，可

以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时

可供应不同的限制策略，实现敏捷的P2P流量限制

*高精度、高效率的入侵检测引擎。采纳H3c公司自主学问产

权的FIRST（FullInspectionwithRigorousStateTest,

基于精确状态的全面检测）引擎。FIRST引擎集成了多项检测技术，

实现了基于精确状态的全面检测，具有极高的入侵检测精度；同时，

FIRST引擎采纳了并行检测技术，软、硬件可敏捷适配，大大提高了

入侵检测的效率

*实时的病毒防护：采纳Kaspersky公司的流引擎查毒技术，

从而快速、精确查杀网络流量中的病毒等恶意代码

*全面、刚好的平安特征库。通过多年经营及积累,H3c公司拥

有业界资深的攻击特征库团队，同时配备有专业的攻防试验室,紧跟

网络平安领域的最新动态，从而保证特征库的刚好精确更新

技术领先的IPv6

*国内领先支持IPv6状态防火墙,真正意义上实现IPv6条件下

的防火墙功能，满意燃眉之急的IPv6应用需求

*支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静

态路由、动态路由及组播路由等功能

*支持IPv6各种过渡技术，包括NAT-PT、IPv6OverIP

v4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、IS

ATAP隧道等

*支持IPv6ACL、Radius等平安技术

电信级设备的高牢靠性

*采纳H3C公司拥有自主学问产权的软、硬件平台。产品应用

从电信运营商到中小企业用户，经验了多年的市场考验

*支持双机状态热备功能，支持配置同步及IPSecVPN的状

态备份,支持Active/Active和Active/Passive两种工作模

式,实现负载分担和业务备份

极具性价比的多业务特性

*集成链路负载均衡特性，通过链路状态检测、链路繁忙爱护等

技术，有效实现企业互联网出口的多链路自动均衡和自动切换

*一体化集成SSLVPN特性，满意移动办公、员工出差的平安访

问需求，不仅可结合USB—Key进行移动用户的身份认证，还可及企

业原有认证系统相结合、实现一体化的认证接入

*作为分支机构的出口设备，支持广域网EAD解决方案

简洁易用的智能管理

*简洁易用的WebUI管理

*适合专业用户的全吩咐行管理

*支持基于SNMP和TR-069协议的管理

*通过H3cSecCenter平安管理中心实现统一管理。

硬件参数

项目描述

接口1个配置口（CON）

6GE

插槽1个MIM插槽，可通过该插槽扩展网络接口

DDRSDRAM1GB

CF卡标配256MCF卡

外型尺寸(W442mmX400mmX44.2mm

XHXD)

电源模块输入额定电100VAC~24OVAC；50/60Hz

压

最大输入电1.6A

流

最大功率消耗46W

环境温度工作：0~45℃

非工作：-40~70℃

环境湿度工作：10〜95%,无冷凝

非工作：5~95%,无冷凝

重量<5.5Kg

功能参数

属性说明

运行模路由模式

式透亮模式

混合模式

网络平AAA服务Portal认证

安性RADIUS认证

HWTACACS认证

PKI/CA（X,509格式）认证

域认证

CHAP验证

PAP验证

防火墙平安区域划分

可以防卫Land、Smurf>Fraggle、Ping

ofDeath>TearDrop、IPSpoofing、

IP分片报文、ARP欺瞒、ARP主动反向查

询、TCP报文标记位不合法超大ICMP报

文、地址扫描、端口扫描、SYNFlood、U

PDFlood、ICMPFlood等多种恶

意攻击

基础和扩展的访问限制列表

基于时间段的访问限制列表

动态包过滤

ASPF应用层报文过滤

静态和动态黑名单功能

MAC和IP绑定功能

基于MAC的访问限制列表

支持802.lqVLAN透传

病毒防护基于病毒特征进行检测

支持病毒库手动和自动升级

报文流处理模式

支持HTTP、、P0P3协议

支持的病毒类型：Backdoor、Email-Wo

rm、IM-Worm、P2P-Worm、Tro

jan、AdWare、Virus等

支持病毒日志和报表

入侵防卫支持对黑客攻击、蠕虫/病毒、木马、恶意

代码、间谍软件/广告软件、DoS/DDoS

常等攻击的防卫

支持缓冲区溢出、SQL注入、IDS/IP

S逃逸等攻击的防卫

支持对BT等P2P/IM识别和限制

支持攻击特征库的分类（依据攻击类型、目

标机系统进行分类）、分级（分高、中、低、

提示四级）

支持攻击特征库的手动和自动升级（T）

URL过滤客户自定义URL过滤规则库

支持JavaBlocking、ActiveXBlocki

ng过滤

平安日志及系统操作日志

统计防火墙日志

攻击防护日志

黑名单日志

NAT日志

NAT支持多个内部地址映射到同一个公网地址

支持多个内部地址映射到多个公网地址

支持内部地址到公网地址一一映射

支持源地址和目的地址同时转换

支持外部网络主机访问内部服务器

支持内部地址直映射到接口公网IP地址

支持DNS映射功能

可配置支持地址转换的有效时间

支持多种NATALG,包括DNS、、ILS、

MSN、NBT、PPTP、SIP等

VPNL2TPVPN支持依据VPN用户完整用户名、用户域

名向指定LNS发起连接

支持为VPN用户安排地址

支持进行LCP重协商和二次CHAP验证

GREVPN

IPSec/I支持AH、ESP协议

KE支持手工或通过IKE自动建立平安联盟

ESP支持DES、3DES、AES多种加密算法

支持MD5及SHA-1验证算法

支持IKE主模式及野蛮模式

支持NAT穿越

支持DPD检测

SSLVPN支持WebProxy服务

支持TeInet、Windows、VNC远程桌面

共享

支持Outlook、Notes

支持固定服务端口的TCP应用程序

支持路由模式的IP互连

支持客户端隧道分别

支持对可访问网段的限制

支持对TCP、UDP和ICMP报文的过滤

支持运用私有协议对客户端虚网卡IP地

址的安排

支持SSLVPN客户端之间的通讯

客户端支持WINS服务和DNS服务

支持本地认证、RADIUS认证、LDAP认证、

AD认证、PKI证书认证和双因子认证

支持对操作系统、阅读器、用户证书、指

定文件和指定进程的检查

支持清除缓存的网页、Cookie、客户端

程序和客户端配置

网络互局域网协议Ethernet_II

连Ethernet_SNAP

802.1qVLAN

链路层协议PPPoEClient

网络协IP服务IPv4

议ARP

域名解析

IPUNNUMBERED

DHCP中继

DHCP服务器

DHCP客户端

IP路由静态路由

RIPv1/2

OSPF

BGP

策略路由

高牢靠VRRP

性支持双机状态热备（Active/Active和Active/Ba

ckup两种工作模式）

支持负载分担和业务备份

QoS流量监管CAR

配置管吩咐行接口通过Conso1e口进行本地配置

理通过Te1net或SSH进行本地或远程配

置

配置吩咐分级爱护，确保未授权用户无法

侵入设备

详尽的调试信息,帮助诊断网络故障

用Telnet吩咐干脆登录并管理其它设备

,T

支持日志功能

User-interface配置，供应对登录用户

多种方式的认证和授权功能。

支持标准网管SNMPv3,并且兼容SNMPv2c>SNMPvl

支持NTP时间同步

支持Web方式进行远程配置管理

支持SNMP、TR069网管协议

支持H3cSecCenter平安管理中心进行设备管理

认证支持欧洲严格的RoHS环保认证

3.3汇聚交换机

产品图片

[n1nMmm一・亭:

产品特性

H3CWiNet才智系列交换机是H3C近年来在中低端网络产品技

术领域的一次重大技术创新，将具有WEB图形化界面的网络设备管

理和用户管理功能的软件融合到交换设备中，通过设备间的协作组网

能轻松实现设备配置管理，网络拓扑管理，用户接入认证，访问权限

限制等功能，满意企业用户易管理、高平安、低成本的建网需求，适

合行业、企业网、办公网等场景交换机组网选型。

内嵌专业级中文图形化网管系统

H3CWiNet才智系列交换机内嵌专业级中文WEB网管软件,

通过其简洁直观的WEB图形化网管界面可以实现40多种功能配置,

包括常用的设备端口配置，VLAN配置，生成树协议配置，MAC地址

管理，ARP表管理，基础和高级的IPv4、IPv6ACL（访问限制列表）

配置，以及高级专业应用如端口平安策略，ARP攻击防卫，802.1

X、MAC、Porta1用户认证，QOS策略，SNMP管理，ROMN告警设

置等，使得网络管理员无需熟识困难的吩咐行语言即可直观的进行网

络系统的部署。

全面彻底的防范ARP病毒攻击

H3CWiNet才智系列交换机具有完备的平安策略，除了具备常

用的端口绑定和ACL(访问限制列表)等网络平安技术外,还支持ARP

入侵检测功能和ARP报文限速功能,可在交换机接入端口侧有效防

止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺瞒攻击”和

“泛洪攻击”，并且这一技术部署特别简洁，可以基于端口，也可以

基于VLAN,只须要在设备的中文WEB网管界面中点击鼠标选中启动

防卫策略即可完成部署。

可实现对网络用户精细化管理

H3CS5500系列千兆三层交换机内嵌WiNet网管平台，在及

WiNet系列交换机成套部署时，通过设备间的协作组网，用户无需

购买硬件服务器、软件数据库和AAA用户管理软件，即可拥有一套

属于企业自己的用户管理认证系统。

WiNet用户管理系统采纳基于WEB的Portai认证模式,无需用

户安装客户端，此外基于帐号(用户)的管理模式，使得WiNet用户

管理系统可以对不同的认证用户授予不同的网络访问权限，照实现员

工之间、部门之间的平安隔离或者允许禁止某一部分用户访问互联网

络,从而保证企业机密信息有效受控。由此将中小企业网络由开放的、

不受控的网络加固为具有用户准入及精细权限限制的平安的网络。

增加的以太网供电功能(P0E+)

H3CWiNet才智系列交换机供应支持增加的以太网供电功能

(P0E+)的款型产品,P0E供电款型可以供应每端口最大30W的输

出功率，可以为802.Un的无线接入点，可视IP电话，以及更多的

P0E受电终端设备供应以太网供电实力。

高性价比，持续可用的生命力

H3CWiNet才智系列交换机遵从H3c现有主流企业级产

品体系（软硬件设计），具有完善的二、三层网络功能（不同于其他简

洁智能网管产品），其能够伴随用户网络的发展持续可用，为用户供应

了更优性价比的解决方案,用户无需担忧IT硬件投资随业务发展而

奢侈；如企业规模只有儿十人时可以作为桌面交换机（组建小型

Office办公网络），采纳产品自带的中文WEB网管系统管理；在企

业规模达到百人以上时，可以通过核心H3cS5500系列交换机内嵌

的WiNet网管平台进行网络和用户的管理；当企业规模达到几百上

千人时，可以通过H3cIMC网管平台对网内的WiNet才智系列交

换机进行管理，由此可以看出WiNet才智系列交换机具有广泛的适用

性和强大的生命力。

产品参数

支持特性S5120-28P-WiNet

交换容量（全192Gbps

双工）

包转发率（整42/78Mpps

机）

重量<3/5kg

管理端口1个Conso1e口

外形尺寸（长440X160X43.6

X宽X

高）（单位：

mm）

业务端口描24个10/100/1000Base-T以太网端口，4个1000

述Base-XSFP千兆以太网端口

扩展插槽无

可选接口模如下接口模块仅适配S5500-28F-WiNet款型：

块单端口10GEXFP接口模块

两端口10GEXFP接口模块

两端口10GECX4接口模块

两端口10GBase-T接口模块

两端口SFP接口模块

两端口SFP+接口模块

端口聚合支持LACP

支持手工聚合

端口支持IEEE802.3x流控（全双工）

支持基于端口速率百分比和kbps的风暴抑制

VLAN支持基于端口的VLAN（4K个）

支持VoiceVLAN

DHCP支持DHCPclient

支持DHCPSnooping

支持DHCPSnoopingtrust

支持DHCPSnoopingoption82

支持DHCPServer(S5500-24P-WiNet/

S5500-48P-WiNet/S5500-28F-WiNet

支持)

支持DHCPReley(S3100V2-26TP-WiNet/S

3100V2-52TP-WiNet除外)

组播支持IGMPSnoopingv2/v3

生成树支持STP/RSTP/MSTP协议

ACL支持基于源MAC地址、目的MAC地址、源IP地址、

目的IP地址、TCP/UDP端口号、协议类型、VLAN

等ACL

支持基于时间段的ACL

支持基于全局、VLAN、端口下发ACL

QoS每个端口支持4个输出队列(S5500-24P-WiNet

/S5500-48P-WiNet/S5500-28F-WiNet

支持8个输出队列)

支持802.1p/DSCP优先级

支持端口队列调度（SP、WRR、SP+WRR）

支持基于流的包过滤

支持基于流的流量统计

支持基于流的重定向

支持基于流的优先级标记

支持基于流的限速

支持流量整形

镜像支持端口镜像

支持流镜像

平安特性支持用户分级管理和口令爱护

支持Radius认证

支持SSH2.0

支持802.IX,集中式MAC地址认证

支持GuestVLAN

支持端口隔离

支持端口平安

支持MAC地址学习数目限制

支持ARP入侵检测功能

管理及维护支持XModem/加载升级

支持吩咐行接口(CLI),TeInet,Consolen

进行基本业务配置

支持SNMP,WEB网管，内嵌WiNet网管平台(S55

00-24P-WiNet/S5500-48P-WiNet/S55

00-28F-WiNet内嵌)

支持RMON(RemoteMonitoring)

支持iMC智能管理中心

支持系统日志，分级告警，调试信息输出

支持HGMPv2

支持NTP

支持Ping,Tracert

支持VCT(VirtualCableTest)电缆检测功能

输入沟通额定电压范围：100V〜240VAC；50/60Hz

电压最大电压范围：90V〜264VAC;47/63Hz

功耗（满负荷31.5W

时）

工作环境温0℃—45℃

度

工作环境相10%~90%

对湿度（非凝

露）

3.4AP接入点

产品图片

H3CI

产品特性

H3C系列无线产品是杭州华三通信技术有限公司（H3C）自主

研发的新一代基于2-Streams11acMIMO技术的千兆高速无线

接入设备（以下简称AP）,可供应相当于传统802.11n网络3倍以上

的无线接入速率，能够覆盖更大的范围。

实现智能千兆云接入和最佳无线网络TCO

系列AP遵从802.1lac协议标准,能供应空间2流（2-Stream

s）866Mbps的无线传输速率以及整机千兆接入实力，是相同环境

下802.Un产品3倍左右。内置天线，可以有效地从覆盖范围、

接入密度、运行稳定等方面供应更高性能的移动云接入服务并帮助用

户实现最佳无线网络TC0（总拥有成本/T。talCostofOw

nership）o

绿色低碳设计

*全速率全特性能够满意标准POE供电（低于12.95W）0

*系列AP采纳专业绿色低碳设计,支持动态MIM0省电模式（DM

PS）及增加型自动省电传送（E-APSD）,智能辨识终端实际性能需

求，合理化调配终端休眠队列,动态调整MIMO工作模式。

*系列AP支持GreenAP模式,实现单天线待机，节能更精

准。

*系列AP通过创新性的逐包功率限制（PPC）技术，在确保报

文能胜利传输的前提下动态调整AP设备和客户端干脆的双向功率，

以达到削减设备能耗和延长移动终端待机时间的作用。

供应双千兆以太网接口有线连接

*系列AP支持双频同时工作,组合性能可达1166Mbps。上行

链路采纳双千兆以太网接口，突破了传统单以太网接口的限制，使有

线口不再成为无线接入的速率瓶颈，为将来支持更高速率更多射频组

合供应了平滑升级的平台。

*双千兆以太网口的支持，还可以实现AP上行链路传输的备

份，有效降低规模部署中有线侧故障对无线网络运行带来的风险和影

响。

支持Fat/Fit两种模式

系列AP支持Fat和Fit两种工作模式，依据网络规划的须要,

可以敏捷地在Fat和Fit两种工作模式中切换，同时用户可以依据

应用需求，敏捷选择所需的设备出厂版本（Fat模式版本或Fit模

式版本）。

当客户的无线网络初始规模较小时，客户只需选购相应无线设

备，并设置其工作模式为Fat模式。随着客户网络规模的不断扩容，

当网络中应用的无线设备达到几十甚至上百台时一，为降低网络管理的

困难度,建议客户选购H3C自主研发的WAC系列无线限制器设备，

便于集中管理网络中的全部的系列无线设备，此时只需将其工作模式

切换到Fit模式。

工作模式切换过程只须要简易吩咐行，且可以通过设备网管批量

执行，有利于将客户的无线网络由小型网络平滑升级到大型网络，从

而更好地爱护用户的投资，特别适合运营级大规模无线网络的平滑扩

容升级。

供应本地转发功能

当系列AP(Fit模式)通过广域网方式转发时，无线接入设备部

署在分支机构，而无线限制器部署在总部，全部用户数据由无线接入

设备发送到无线限制器，再由无线限制器进行集中转发。系列AP可

将数据报文在无线接入设备上干脆转化为有线格式的报文，使得数据

报文不经过无线限制器，而是在本地进行转发,大大节约了有线带宽。

支持IPv4/IPv6双协议栈(NativeIPv6)

系列AP全面支持IPv6特性，设备实现了IPv4/IPv6双协议栈。

无论原有有线网络是IPv4